Fortinet ออกแพตซ์แก้ไขช่องโหว่ RCE ระดับ Critical ใน FortiNAC

Fortinet fixes critical FortiNAC remote command execution flaw

Fortinet บริษัทโซลูชันด้านความปลอดภัยทางไซเบอร์ ออกแพตซ์อัปเดตช่องโหว่ในโซลูชัน Zero-Trust Access ของตนเองที่ชื่อว่า FortiNAC เพื่อแก้ไขช่องโหว่ระดับ Critical ซึ่งผู้โจมตีสามารถใช้เพื่อสั่งรันโค้ด และคำสั่งที่เป็นอันตรายได้

FortiNAC ช่วยให้องค์กรสามารถจัดการกับนโยบายการเข้าถึงเครือข่ายได้อย่างมีประสิทธิภาพ รวมถึงการควบคุมอุปกรณ์ และผู้ใช้งานภายในเครือข่าย และรักษาความปลอดภัยของเครือข่ายจากการเข้าถึงที่ไม่ได้รับอนุญาต

โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-33299 และได้รับคะแนนระดับความรุนแรงของช่องโหว่ที่ 9.6 จาก 10 คะแนน โดยช่องโหว่ดังกล่าวเกิดจากการ deserialization of untrusted data ซึ่งอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ของผู้ใช้งาน

โดย Fortinet ระบุว่า "ช่องโหว่ deserialization of untrusted data ใน FortiNAC อาจทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์ สามารถเรียกใช้โค้ด หรือคำสั่งที่ไม่ได้รับอนุญาตผ่าน request ที่ถูกสร้างขึ้นโดยเฉพาะไปยังบริการด้วยพอร์ต TCP/1050"

ผลิตภัณฑ์ที่ได้รับผลกระทบ มีดังนี้

FortiNAC version 9.4.0 ถึง 9.4.2
FortiNAC version 9.2.0 ถึง 9.2.7
FortiNAC version 9.1.0 ถึง 9.1.9
FortiNAC version 7.2.0 ถึง 7.2.1
FortiNAC 8.8 ทุกรุ่น
FortiNAC 8.7 ทุกรุ่น
FortiNAC 8.6 ทุกรุ่น
FortiNAC 8.5 ทุกรุ่น
FortiNAC 8.3 ทุกรุ่น

เวอร์ชันที่แนะนำให้อัปเกรดเพื่อจัดการกับความเสี่ยงที่เกิดขึ้นจากช่องโหว่ มีดังนี้

FortiNAC 9.4.3 ขึ้นไป
FortiNAC 9.2.8 ขึ้นไป
FortiNAC 9.1.10 ขึ้นไป
FortiNAC 7.2.2 ขึ้นไป

เนื่องจากทาง Fortinet ไม่ได้ให้คำแนะนำเกี่ยวกับการแก้ไขปัญหาแบบชั่วคราว ดังนั้นแนะนำให้รีบอัปเดตแพตซ์เพื่อป้องกันการถูกโจมตีจากช่องโหว่ดังกล่าว

โดย CVE-2023-33299 ถูกค้นพบโดย Florian Hauser จากบริษัท Code White ซึ่งให้บริการ red team, penetration testing, และ threat intelligence

Fortinet ยังได้แก้ไขช่องโหว่ระดับปานกลางที่มีหมายเลข CVE-2023-33300 เกี่ยวกับปัญหาควบคุมการเข้าถึงที่ไม่ถูกต้อง ที่มีผลกระทบต่อ FortiNAC เวอร์ชัน 9.4.0 - 9.4.3 และ FortiNAC เวอร์ชัน 7.2.0 - 7.2.1 สาเหตที่ช่องโหว่นี้มีระดับความรุนแรงที่ต่ำกว่าเนื่องจาก CVE-2023-33300 จะถูกโจมตีได้ในรูปแบบ local เท่านั้น และผู้โจมตีต้องมีสิทธิ์สูงพอที่จะเข้าถึงข้อมูลที่ถูกคัดลอกไว้

เมื่อไม่กี่ปีที่ผ่านมาอุปกรณ์ Fortinet ตกเป็นเป้าหมายการโจมตีโดยใช้ช่องโหว่ Zero-day และการโจมตีอุปกรณ์ที่ไม่ได้รับการอัปเดตเป็นจำนวนมาก

ตัวอย่างล่าสุดคือ CVE-2022-39952 ซึ่งเป็นช่องโหว่ RCE ที่ส่งผลกระทบต่อ FortiNAC ที่ได้รับการแก้ไขไปแล้วในช่วงกลางเดือนกุมภาพันธ์ ซึ่งผู้โจมตีเริ่มใช้ประโยชน์ช่องโหว่ในการโจมตีระบบ ไม่กี่วันหลังจากที่มีการเผยแพร่ POCs

ในเดือนมกราคมที่ผ่านมา Fortinet แจ้งเตือนว่าผู้โจมตีได้ใช้ช่องโหว่ FortiOS SSL-VPN (CVE-2022-42475) ในการโจมตีองค์กรของรัฐ ก่อนที่จะได้รับการอัปเดตแพตซ์ในเวลาต่อมา

เดือนตุลาคมของปีที่แล้ว Fortinet ได้แจ้งเตือนให้ลูกค้าทำการอัปเดตอุปกรณ์เพื่อป้องกันช่องโหว่จากการ bypass authentication ใน FortiOS, FortiProxy, และ FortiSwitchManager (CVE-2022-40684) เนื่องจากผู้โจมตีได้เริ่มใช้ประโยชน์จากช่องโหว่ดังกล่าวแล้ว

ที่มา : Bleepingcomputer